Ложные срабатывания мешают эффективности проактивной антивирусной защиты

...

Российский независимый информационно-аналитический центр Anti-Malware.ru опубликовал результаты теста 19 популярных комплексных персональных антивирусных продуктов на эффективность эвристических технологий, предназначенных для защиты от новых образцов вредоносных программ.

Несмотря на активное развитие «облачных» технологий, привычные технологии проактивной защиты, основанные на анализе файлов непосредственно на компьютере пользователя (эвристику), не списывается со счетов. Для многих антивирусных продуктов на рынке они продолжают оставаться единственными составляющими проактивности защиты.

В ходе данного теста Anti-Malware.ru проверялась эффективность работы эвристических антивирусных технологий против неизвестных вредоносных программ. Согласно методологии тест проводился в течение семи недель, в это время создавались специальные условия для проверки эффективности работы эвристиков. Для этого у всех антивирусов была отключена функция обновления, то есть антивирусные базы были «заморожены» на дату начала теста.

Через две недели начался сбор новейших образцов вирусов, а также «чистых» (безопасных) файлов. Всего за следующие четыре недели было собрано более 2500 новых вредоносных программ и более 20000 чистых файлов. Далее на этих коллекциях была проверена эффективность эвристики, то есть возможность обнаружения неизвестных ранее вирусов, с максимально возможными настройками. В результате лучшие антивирусы получили награды, учитывая баланс между количеством найденных вредоносных программ и уровнем ложных срабатываний.

К сожалению, в этом году ни один антивирусный продукт не смог показать результаты, достаточные для получения наград Gold Proactive Protection Award и Platinum Proactive Protection Award. Во многом это произошло по причине высокого уровня ложных срабатываний у большинства протестированных антивирусов, особенно тех, чьи результаты детектирования превысили 60%. Те же антивирусы, которые практически не имеют ложных срабатываний, не сумели показать очень высокий уровень детектирования.

Абсолютным лидером по уровню обнаружения оказался F-Secure Internet Security, чей уровень детектирования неизвестных вредоносных программ оказался очень высоким – 68%. Однако очень высокий уровень ложных срабатываний на уровне 3% не позволил этому антивирусу побороться за награды. Аналогичная ситуация и с Avira AntiVir Premium Security Suite, большое количество ложных срабатываний сводит на нет шансы на какие-либо награды.

Явные проблемы с ложными срабатываниями есть также у Sophos Anti-Virus (0.84%) и
Comodo Internet Security (0.69%), что, несмотря на высокие показатели по детектированию, позволило им рассчитывать лишь на Bronze Proactive Protection Award.

Лучшим антивирусов по качеству эвристики оказался AVG Internet Security, который показал очень высокий уровень детектирования при сравнительно небольшом уровне ложных срабатываний (65% и 0.17% соответственно). Близкие к лидеру результаты показали G DATA Internet Security и BitDefender Internet Security. Эта тройка лидеров получила награду Silver Proactive Protection Award.

Также награду Silver Proactive Protection Award получили Kaspersky Internet Security,  ZoneAlarm Security Suite,  Microsoft Security Essentials,  Trend Micro Internet Security и Avast Internet Security. Результаты этой пятерки антивирусов очень близки между собой, их уровень обнаружения составил 41-48%, а уровень ложных срабатываний оказался  от 0% до 0.03% - минимальных значениях для данного теста.

Остальные 7 протестированных антивирусов, в числе которых Norton Internet Security, Eset Smart Security, PC Tools Internet Security, Dr.Web Security Space, VBA32 Personal,
Panda Internet Security и Outpost Security Suite Pro, показали удовлетворительный результат и получили награду Bronze Proactive Protection Award.

Результаты теста эффективности эвристиков антивирусов - детект  ложные срабатывания

Для полноты картины специалисты Anti-Malware.ru провели измерение уровня детектирования на той же самой коллекции, но с обновленными антивирусными базами спустя неделю после завершения основной части теста. В результате была оценена общая способность обнаружения новейших видов вирусов, а также эффективность работы классических сигнатурных методов в дополнение к эвристике.

Качество  обнаружения новых  вирусов, вклад различных компонентов

Лучшими по обнаружению новых вредоносных программ с актуальными базами оказались Kaspersky Anti-Virus, G DATA Internet Security, BitDefender Internet Security, Avira AntiVir Premium Security Suite и Avast Internet Security с результатами от  99% до 95%.

Сергей Ильин, управляющий партнер Anti-Malware.ru, так прокомментировал результаты теста: 

«Мы проводим подобные тесты с 2007 года и до последнего времени результаты в целом по индустрии росли. Проактивные эвристические технологии обнаружения вредоносных программ становились эффективнее.  Судя по всему, в этом году этому пришел конец, и мы наблюдаем переломный момент. Привычная и проверенная эвристика более не становится эффективнее, а даже напротив, уровень детектирования за счет этой составляющей стал снижаться.

Причин для такого изменения тренда несколько. Во-первых, скорости создания новых образцов вредоносных программ неизбежно сводит все усилия по разработке новых проактивных алгоритмов детектирования вредоносных файлов к неким сигнатурам, но в другой обертке. Реальной проактивной защиты пользователей при этом уже нет. Во-первых, вендоры массово занялись «облачными» и поведенческими технологиями, сделав ставку на связанную с ними быстроту обеспечение детекта. Этот подход, с моей точки зрения, является действительно более перспективным в силу целого ряда причин, поэтому в ближайшие годы нас ожидает некоторая эволюция самого понятия проактивности».

Ознакомиться с полном отчетом о тестировании можно по адресу http://www.anti-malware.ru/proactive_test_2010

 


 

Anti-Malware.ru – первый в России независимый информационно-аналитический центр, полностью посвященный информационной безопасности. Сфера интересов Anti-Malware.ru включает в себя как технологическую, так и бизнес-составляющую рынка и его отдельных сегментов, таких как программное обеспечение, аппаратные комплексы или услуги.

www.anti-malware.ru 

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.